Los expertos de Kaspersky han descubierto un tipo de ataque que se sirve de una vulnerabilidad zero-day dentro del sistema de archivos de registro común (CLFS) de Microsoft Windows para ejecutarse. Un grupo de ciberdelincuentes usó un exploit desarrollado para diferentes versiones del sistema operativo, entre ellos Windows 11, y trató de implementar en el mismo el ransomware Nokoyama. Microsoft parcheó la vulnerabilidad, asignándole el identificador CVE-2023-28252.
Mientras que la mayoría de las vulnerabilidades descubiertas por Kaspersky son utilizadas por amenazas persistentes avanzadas (APTs), esta resultó ser explotada con fines de ciberdelincuencia por un sofisticado grupo que lleva a cabo ataques de ransomware. Dicho grupo de ciberdelincuentes se caracteriza por el aprovechamiento de vulnerabilidades del sistema de archivos de registro común (CLFS). La compañía ha descubierto al menos cinco exploits diferentes en ataques contra empresas minoristas y mayoristas de sectores tan diversos como el energético, manufacturero, sanitario o de desarrollo de software, entre muchos otros.
Microsoft ha asignado el identificador CVE-2023-28252 al nuevo zero-day descubierto. Se trata de una vulnerabilidad de elevación de privilegios del sistema de archivos de registro común que se desencadena a través de la manipulación de un archivo. Los analistas descubrieron esta vulnerabilidad tras revisar intentos de ejecución de exploits de elevación de privilegios en servidores de Microsoft Windows de pymes de Oriente Medio y Norteamérica.
En concreto, Kaspersky detectó por primera vez CVE-2023-28252 en un ataque en el cual los cibercriminales trataron de implementar una versión más actual del ransomware Nokoyawa. Las variantes más antiguas de este malware resultaron ser simplemente versiones rebautizadas del ransomware JSWorm, pero en el tipo de ataque mencionado anteriormente la variante Nokoyawa era muy distinta, atendiendo al código fuente.
El exploit utilizado en el ataque se desarrolló para diferentes versiones y compilaciones de Windows, entre ellas Windows 11. Los atacantes usaron la vulnerabilidad CVE-2023-28252 para elevar privilegios y robar credenciales de la base de datos del administrador de cuentas de seguridad (SAM).
Nota de rescate de Nokoyawa
“Los grupos de ciberdelincuentes son cada vez más sofisticados y usan exploits zero-day en sus ataques. Antes era una herramienta de los actores de amenazas persistentes avanzadas (APT), pero ahora los ciberdelincuentes tienen recursos para adquirir zero-day y usarlos para sus fines. También hay desarrolladores de exploits dispuestos a colaborar en la creación de diferentes variantes. Es muy importante que las empresas descarguen el último parche de Microsoft lo antes posible y usen otros métodos de protección, como las soluciones EDR”, explica Boris Larin, analista principal de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).
Más información
- Avast alerta de una nueva estafa de extorsión de datos dirigida a empresas
- 5 consejos para proteger la información de las pymes de los ciberataques
- El phishing y la difusión de malware, principales riesgos del ChatGPT en el entorno empresarial
- Del «phishing» por correo electrónico a la creciente amenaza del «smishing»: ¿qué hay detrás de las estafas por SMS?
